Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Coletar registros do Fluentd

Neste documento, descrevemos como coletar registros do Fluentd configurando o Fluentd e um encaminhador do Chronicle. Neste documento, também listamos os tipos de registro compatíveis e a versão do Fluentd.

Veja mais informações em Ingestão de dados no Chronicle.

Visão geral

O diagrama da arquitetura de implantação a seguir mostra como o Fluentd está instalado no servidor de encaminhamento e no servidor agregador para enviar registros para o Chronicle. Cada implantação de cliente pode ser diferente dessa representação e pode ser mais complexa.

Arquitetura de implantação

O diagrama da arquitetura mostra os seguintes componentes:

  • Sistema Linux O sistema Linux que será monitorado. O sistema do Linux consiste nos arquivos que serão monitorados e no servidor de encaminhamento do Fluentd.

  • Sistema do Microsoft Windows. O sistema Microsoft Windows a ser monitorado onde o servidor de encaminhamento do Fluentd está instalado.

  • Encaminhar encaminhador. O encaminhador do Fluentd coleta informações do sistema do Microsoft Windows ou do Linux e encaminha as informações para o agregador do Fluentd.

  • Agregador do Fluentd O agregador do Fluentd recebe registros do encaminhador do Fluentd e encaminha os registros para o encaminhado do Chronicle.

  • Encaminhamento do Chronicle. O encaminhador do Chronicle é um componente de software leve, implantado na rede do cliente e compatível com syslog. O encaminhador do Chronicle encaminha os registros para o Chronicle.

  • Chronicle. O Chronicle retém e analisa os registros do agregador do Fluentd.

Um identificador de ingestão identifica o analisador que normaliza os dados brutos de registro no formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de processamento FLUENTD.

Antes de começar

  • Verifique se o encaminhador do Fluentd está instalado nos sistemas Microsoft Windows ou Linux que você planeja monitorar. Para mais informações sobre como instalar o encaminhador do Fluentd, consulte Instalação do Fluentd

  • Usar uma versão do Fluentd com o analisador do Chronicle. O analisador do Chronicle é compatível com o Fluentd versão 1.0.

  • Verifique se o agregador do Fluentd está instalado e configurado no servidor Linux central.

  • Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.

  • Verifique os tipos de registro compatíveis com o analisador do Chronicle. A tabela a seguir lista os caminhos dos produtos e arquivo de registro compatíveis com o analisador do Chronicle:

    Sistema operacional Produto Caminho do arquivo de registros
    Dispositivo Microsoft Windows Dispositivo Microsoft Windows Logs de eventos
    Linux Linux /var/log/audit/audit.log
    Linux Linux /var/log/syslog
    Linux apache2 /var/log/apache2/access.log
    Linux apache2 /var/log/apache2/error.log
    Linux apache2 /var/log/apache2/other_vhosts_access.log
    Linux apache2 /var/log/apache2/novnc-server-access.log
    Linux Abrir VN /var/log/openvpnas.log
    Linux Nginx /var/log/nginx/access.log
    Linux Nginx /var/log/nginx/error.log
    Linux Rkhunter /var/log/rkhunter.log
    Linux Linux /var/log/auth.log
    Linux Linux /var/log/kern.log
    Linux rundeck /var/log/rundeck/service.log
    Linux Samba /var/log/samba/log.winbindd
    Linux Linux /var/log/mail.log

Configurar o encaminhador e o agregador do Fluentd e o encaminhador do Chronicle

  1. Para monitorar os registros gerados pelos sistemas Linux, crie um arquivo td-agent.conf para especificar a configuração de monitoramento de registros para o encaminhador do Fluentd. Veja um exemplo de arquivo de configuração para o encaminhador do Fluentd no sistema Linux:

    <source>
    @type tail
    path /var/log/nginx/access.log
    pos_file /var/log/td-agent/nginx-access.log.pos
    tag mytag.nginx.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/nginx/error.log
    pos_file /var/log/td-agent/nginx-error.log.pos
    tag mytag.nginx.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/access.log
    pos_file /var/log/td-agent/apache-access.log.pos
    tag mytag.apache.access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/apache2/error.log
    pos_file /var/log/td-agent/apache-error.log.pos
    tag mytag.apache.error
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/audit/audit.log
    pos_file /var/log/td-agent/audit.log.pos
    tag mytag.audit
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/syslog/syslog.log
    pos_file /var/log/td-agent/syslog.log.pos
    tag mytag.syslog
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/other_vhosts_access.log
    pos_file /var/log/td-agent/vhost.log.pos
    tag mytag.apache.other_vhosts_access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path  /var/log/apache2/novnc-server-access.log
    pos_file /var/log/td-agent/novnc.log.pos
    tag mytag.apache.novnc-server-access
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/openvpnas.log
    pos_file /var/log/td-agent/openvpnas.log.pos
    tag mytag.openvpnas
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/auth.log
    pos_file /var/log/td-agent/auth.log.pos
    tag mytag.auth
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/kern.log
    pos_file /var/log/td-agent/kern.log.pos
    tag mytag.kern
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rundeck/service.log
    pos_file /var/log/td-agent/rundeck.log.pos
    tag mytag.rundeck
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/mail.log
    pos_file /var/log/td-agent/mail.log.pos
    tag mytag.mail
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    path /var/log/rkhunter.log
    pos_file /var/log/td-agent/rkhunter.log.pos
    tag mytag.rkhunter
    <parse>
    @type none
    </parse>
    </source>
    
    <source>
    @type tail
    Path /var/log/samba/log.winbindd
    pos_file /var/log/td-agent/winbindd.log.pos
    tag mytag.winbindd
    <parse>
    @type none
    </parse>
    </source>
    
    <filter  mytag.**>
    @type record_transformer
    <record>
    forwarder_hostname "#{Socket.gethostname}"
    </record>
    </filter>
    
    <filter  mytag.nginx.access.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/access.log"
    </record>
    </filter>
    
    <filter  mytag.nginx.error.**>
    @type record_transformer
    <record>
    path "/var/log/nginx/error.log"
    </record>
    </filter>
    
    <filter  mytag.apache.access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.error.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/error.log"
    </record>
    </filter>
    
    <filter  mytag.audit.**>
    @type record_transformer
    <record>
    path "/var/log/audit/audit.log"
    </record>
    </filter>
    
    <filter  mytag.syslog.**>
    @type record_transformer
    <record>
    path "/var/log/syslog/syslog.log"
    </record>
    </filter>
    
    <filter  mytag.apache.other_vhosts_access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/other_vhosts_access.log"
    </record>
    </filter>
    
    <filter  mytag.apache.novnc-server-access.**>
    @type record_transformer
    <record>
    path "/var/log/apache2/novnc-server-access.log"
    </record>
    </filter>
    
    <filter mytag.openvpnas.**>
    @type record_transformer
    <record>
    path "/var/log/openvpnas.log"
    </record>
    </filter>
    
    <filter mytag.auth.**>
    @type record_transformer
    <record>
    path "/var/log/auth.log"
    </record>
    </filter>
    
    <filter mytag.kern.**>
    @type record_transformer
    <record>
    path "/var/log/kern.log"
    </record>
    </filter>
    
    <filter mytag.rundeck.**>
    @type record_transformer
    <record>
    path "/var/log/rundeck/service.log"
    </record>
    </filter>
    
    <filter mytag.mail.**>
    @type record_transformer
    <record>
    path "/var/log/mail.log"
    </record>
    </filter>
    
    <filter mytag.rkhunter.**>
    @type record_transformer
    <record>
    path "/var/log/rkhunter.log"
    </record>
    </filter>
    
    <filter mytag.winbindd.**>
    @type record_transformer
    <record>
    path "/var/log/samba/log.winbindd"
    </record>
    </filter>
    
    <match mytag.**>
    @type forward
    # primary host
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    </server>
    </match>
    
  2. Para monitorar os registros gerados pelos sistemas Microsoft Windows, crie um arquivo td-agent.conf para especificar a configuração de monitoramento de registros para o encaminhador do Fluentd. Veja um exemplo de arquivo de configuração para o encaminhador do Fluentd no sistema Microsoft Windows:

    <source>
    @type windows_eventlog
    @id windows_eventlog
    channels application,security,system
    read_existing_events true
    read_interval 2
    tag windows.raw
    render_as_xml true
    <storage>
    @type local
    persistent true
    path E:\windows.pos
    </storage>
    </source>
    <match windowslog>
    @type forward
    <server>
    host <AGGREGATOR_HOSTNAME>
    port <AGGREGATOR_PORT>
    username <AGGREGATOR_USERNAME>
    password <AGGREGATOR_PASSWORD>
    </server>
    </match>
    
    
  3. Para encaminhar os registros do agregador do Fluentd para o encaminhador do Chronicle, crie um arquivo de configuração no seguinte formato:

    <source>
    @type forward
    port <AGGREGATOR_PORT>
    </source>
    
    ## Forwarding
    <match mytag.**>
    @id output_system_forward
    @type forward
    # IP and port of the Chronicle forwarder
    <server>
     host <CHRONICLE_FORWARDER_HOSTNAME>
     port <CHRONICLE_FORWARDER_PORT>
    </server>
    </match>
    
  4. Configure o encaminhador do Chronicle para enviar registros para ele. Veja mais informações em Como instalar e configurar o encaminhador no Linux. Confira a seguir um exemplo de configuração do encaminhador do Chronicle:

    common:
      enabled: true
      data_type: FLUENTD
      batch_n_seconds: 10
      batch_n_bytes: 1048576
    tcp_address: 0.0.0.0:10514
    connection_timeout_sec: 60
    

Referência de mapeamento de campo

Nesta seção, explicamos como o analisador usa padrões grok para sistemas Linux e Microsoft Windows e como ele mapeia campos de registro do Fluentd para os campos do modelo de dados unificado do Chronicle (UDM) para cada tipo de registro.

Veja informações sobre como mapear a referência de campos comuns em Campos comuns.

Para informações de referência sobre caminhos de registro, padrões grok para exemplos de registros, tipos de evento e campos UDM em sistemas Linux, consulte as seguintes seções:

Para informações sobre os eventos compatíveis com o Microsoft Windows e os campos de UDM correspondentes, consulte Dados de eventos do Microsoft Windows.

Campos comuns

A tabela a seguir lista os campos de registro mais comuns e os campos de UDM correspondentes.

Campo de registro comum Campo UDM
coletados_hora metadata.collected_timestamp
Mensagem_interna mensagem_interna
mensagem_inicial.forwarder_nomedohost target.hostname ou principal.hostname
mensagem_interna.caminho origem_do_evento

Sistema Linux

A tabela a seguir lista os caminhos de registro do sistema Linux, o padrão grok para exemplos de registros, o tipo de evento e os mapeamentos de UDM:

Caminho do registro Registro de exemplo Padrão de Grog Tipo de evento Mapeamento do UDM
/var/log/apache2/error.log [Quinta-feira, 28 de abril, 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [cliente 1.200.32.47:59840] não consegue se conectar [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [cliente {client_ip}:{client_port}]|) (?<error_message>.*) NETWORK_UNCATEGORIZED

o carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid.

tid é mapeado para target.process.pid.

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

error_message é mapeado para security_result.description.

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/error.log [Quinta-feira, 28 de abril, 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] não consegue se conectar [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} NETWORK_UNCATEGORIZED

o carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid.

tid é mapeado para target.process.pid.

error_message é mapeado para security_result.description.

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/error.log [Quinta-feira, 28 de abril, 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Linha de comando: '/usr/sbin/apache2' [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [cliente {client_ip}:{client_port}]|) (?<error_message>.*),referenciador{referer_url} NETWORK_UNCATEGORIZED

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

o carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid.

tid é mapeado para target.process.pid.

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

error_message é mapeado para security_result.description.

target.platform é definido como "LINUX".

referenceer_url é mapeado para network.http.referral_url

/var/log/apache2/error.log [Domingo , 30 de janeiro 15:14:47.260309 2022] [proxy_http:error] [pid 12515:tid 140035781285632] [cliente 1.200.32.47:59840] AH011114: HTTP. Falha no HTTP2:2. [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [cliente {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" HTTP_NETWORK

o carimbo de data/hora é mapeado para metadata.event_timestamp

log_module é mapeado para target.resource.name

log_level é mapeado para security_result.severity

pid é mapeado para target.process.parent_process.pid.

tid é mapeado para target.process.pid.

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

error_message é mapeado para security_result.description.

target_ip é mapeado para target.ip

referenceer_url é mapeado para network.http.referral_url

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/error.log [Sáb 02 fev 00:30:55 2019] Nova conexão: [conexão: gTxkX8Z6tjk] [cliente 192.0.2.1:50786] [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

o carimbo de data/hora é mapeado para metadata.event_timestamp

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

connection_id é mapeado para network.session_id

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/error.log [Sáb 02 fev 00:30:55 2019] Nova solicitação: [connection: j8BjX4Z5tjk] [request: ACtkX1Z5tjk] [pid 8] [client 192.0.2.1:50784] [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] NETWORK_UNCATEGORIZED

o carimbo de data/hora é mapeado para metadata.event_timestamp

request_id é mapeado para security_result.detection_fields.(key/value)

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

pid é mapeado para target.process.parent_process.pid.

connection_id é mapeado para network.session_id

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/error.log [Sáb 02 de fev.00:30:55 2019] [info] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [cliente 192.0.2.1:50784/AH00128/localhost/2012] [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[cliente {client_ip}:{client_port}]{error_message}:{file_path} NETWORK_UNCATEGORIZED

o carimbo de data/hora é mapeado para metadata.event_timestamp

log_level é mapeado para security_result.severity

request_id é mapeado para security_result.detection_fields.(key/value)

client_ip é mapeado para principal.ip

client_port é mapeado para principal.port

pid é mapeado para target.process.parent_process.pid.

connection_id é mapeado para network.session_id

error_message é mapeado para security_result.description.

file_path é mapeado para target.file.full_path

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/access.log 192.0.2.1 - - [28/abr/2022:17:35:52 +0530] "GET / HTTP/1.1" 200 3476 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (36).36) ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? HTTP_NETWORK

client_ip é mapeado para principal.ip

ID do usuário é mapeado para principal.user.userid

o host é mapeado para principal.hostname

o carimbo de data/hora é mapeado para metadata.event_timestamp

O método é mapeado para network.http.method

O recurso é mapeado para principal.resource.name

client_protocol é mapeado para network.application_protocol

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referenceer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definida como "OUTBOUND"

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

var/log/apache2/other_vhosts_access.log wontest.abc.com:80 ::1 - - [14/jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" {target_host}:{NUMBER:target_port} {client_ip} - (<<Optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) HTTP_NETWORK target_host é mapeado para target.hostname.

target_port é mapeado para target.port.

client_ip é mapeado para principal.ip

ID do usuário é mapeado para principal.user.userid

o host é mapeado para principal.hostname

o carimbo de data/hora é mapeado para metadata.event_timestamp

O método é mapeado para network.http.method

O recurso é mapeado para principal.resource.name

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referenceer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definida como "OUTBOUND"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

network.application_protocol está definido como "HTTP"

var/log/apache2/novnc-server-access.log wontest.abc.com:80 ::1 - - [14/jan//2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" {target_host}:{NUMBER:target_port} {client_ip} - (<<Optional_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) HTTP_NETWORK

client_ip é mapeado para principal.ip

ID do usuário é mapeado para principal.user.userid

O método é mapeado para network.http.method

o caminho está mapeado para target.url

result_status é mapeado para network.http.response_code

object_size é mapeado para network.sent_bytes

referenceer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

network.ip_protocol está definido como "TCP"

network.direction está definida como "OUTBOUND"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

network.application_protocol está definido como "HTTP"

/var/log/apache2/access.log "http://192.0.2.1/test/first.html" -> /google.com (<campo_opcional>{referência_do_URL}?)->(<campo_opcional>{caminho}?) EVENTO GENERICO

o caminho está mapeado para target.url

referenceer_url é mapeado para network.http.referral_url

network.direction está definida como "OUTBOUND"

target.platform é definido como "LINUX".

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

/var/log/apache2/access.log Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 (<opcional_campo>{user_agent}) EVENTO GENERICO

user_agent é mapeado para network.http.user_agent

network.direction está definida como "OUTBOUND"

target.platform é definido como "LINUX".

network.application_protocol está definido como "HTTP"

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "Apache"

metadata.product_name está definido como "Servidor HTTP Apache"

var/log/nginx/access.log {0/} {principal_ip}: (<opcional_campo>{principal_user_userid}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? HTTP_NETWORK

o horário é mapeado para metadata.timestamp

O IP está mapeado para target.ip

principal_ip é mapeado para principal.ip

principal_user_userid é mapeado para principal.user.userid

metadata_timestamp é mapeado para carimbo de data/hora

http_method é mapeado para network.http.method

resource_name é mapeado para principal.resource.name

o protocolo é mapeado para network.application_protocol = (HTTP)

response_code é mapeado para network.http.response_code

Received_bytes é mapeado para network.sent_bytes

referenceer_url é mapeado para network.http.referral_url

user_agent é mapeado para network.http.user_agent

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "NGINX"

metadata.product_name está definido como "NGINX"

network.ip_protocol está definido como "TCP"

network.direction está definida como "OUTBOUND"

var/log/nginx/error.log 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" com falha (2: sem arquivo ou diretório), client: 192.0.2.1, server: localhost, request: \"GET /nginx_status9/1.0.\". "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"

inner_message2 está mapeado para "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?"

"bind() to ({target_ip}|[{target_ip}]):{target_port} falhou ({security_description})",

"\*{cid}{security_description}",

"{security_description}"

HTTP_NETWORK

thread_id é mapeado para principal.process.pid.

severity é mapeado para security_result.severity

(a depuração é mapeada para UNKNOWN_SEVERITY, as informações são mapeadas para INFORMATIONAL, o aviso é mapeado para LOW, o aviso é mapeado para MEDIUM, o erro é mapeado para ERROR, o crit é mapeado para CRITIAL, o alerta é mapeado para HIGH)

target_file_full_path é mapeado para target.file.full_path.

principal_ip é mapeado para principal.ip

target_hostname é mapeado para target.hostname

http_method é mapeado para network.http.method

resource_name é mapeado para principal.resource.name

o protocolo é mapeado para "TCP"

target_ip é mapeado para target.ip

target_port é mapeado para target.port.

security_description + security_result_description_2 está mapeado para security_result.description.

pid é mapeado para principal.process.parent_process.pid.

network.application_protocol está definido como "HTTP"

O carimbo de data/hora é mapeado para {year}/{day}/{month} {time}

target.platform é definido como "LINUX".

metadata.vendor_name está definido como "NGINX"

metadata.product_name está definido como "NGINX"

network.ip_protocol está definido como "TCP"

network.direction está definida como "OUTBOUND"

var/log/rkhunter.log [14:10:40] Falha na verificação de comandos obrigatórios [<mensagem_texto>]{segurança_descrição} ATUALIZAÇÃO DO STATUS

o horário é mapeado para metadata.timestamp

security_description é mapeada para security_result.description.

principal.platform é definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name está definido como "RootKit Hunter"

var/log/rkhunter.log [14:09:52] Verificando arquivo "/dev/.oz/.nap/rkit/terror" [ Não encontrado ] [<message_text>] {security_description} {file_path}[\{metadata_description}] ARQUIVO_UNCATEGORIZED metadata_description é mapeado para metadata.description

file_path é mapeado para target.file.full_path

security_description é mapeada para security_result.description.

principal.platform é definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name está definido como "RootKit Hunter"

var/log/rkhunter.log ❗: tamanho de arquivo reduzido (inode restante): '/var/log/rkhunter.log'. (<optional_field><message_text>:){metadata_description}:'{file_path}' ARQUIVO_UNCATEGORIZED

o horário é mapeado para metadata.timestamp

metadata_description é mapeado para metadata.description

file_path é mapeado para target.file.full_path

principal.platform é definido como "LINUX"

metadata.vendor_name está definido como "RootKit Hunter"

metadata.product_name está definido como "RootKit Hunter"

/var/log/kern.log 28 de abril 12:41:35 kernel do host local: [ 5079.912215] ctnetlink v0.93: registrar com nfnetlink. {timestamp}{principais_hostname}{metadata_product_event_type}:[<mensagem_text>]{metadata_description} ATUALIZAÇÃO DO STATUS

o carimbo de data/hora é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type é mapeado para "metadata.product_event_type"

metadata_description é mapeado para "metadata.description"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform é definido como "LINUX"

/var/log/kern.log Jul 6 11:17:01 Ubuntu18 kernel: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU @ 2.20GHz (família: 0x6, modelo: 0x55, stepper: 0x7) {timestamp}{principal_hostname}{metadata_product_event_type}:([<mensagem_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) STATUS_ATUALIZAÇÃO

o carimbo de data/hora é mapeado para "metadata.event_timestamp"

principal_hostname é mapeado para "principal.hostname"

metadata_product_event_type é mapeado para "metadata.product_event_type"

principal_asset_hardware_cpu_model é mapeado para "principal.asset.hardware.cpu_model"

metadata_description é mapeado para "metadata.description"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform é definido como "LINUX"

cpu_model é mapeado para principal.asset.hardware.cpu_model

/var/log/syslog.log 24 de maio 10:30:42 Ubuntu18 systemd[1]: Sessão 112 do usuário kajal iniciada. {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} STATUS_ATUALIZAÇÃO

coletados_time é mapeado para metadata.event_timestamp

o nome do host é mapeado para principal.hostname

pid é mapeado para principal.process.pid

a mensagem está mapeada para metadata.description

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform é definido como "LINUX"

command_line é mapeado para principal.process.command_line

/var/log/syslog.log Jul 06 10:14:37 Ubuntu18 rsyslogd: o userid do rsyslogd foi alterado para 102 {collected_timestamp}{hostname}{command_line}:{message}para{user_id} STATUS_ATUALIZAÇÃO

coletados_hora é mapeado para metadata.collected_timestamp

o nome do host é mapeado para principal.hostname

a mensagem está mapeada para metadata.description

user_id é mapeado para principal.user.userid

command_line é mapeado para principal.process.command_line

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform é definido como "LINUX"

/var/log/syslog.log Jul 06 10:36:48 Ubuntu18 systemd[1]: Iniciando o Serviço de geração de registros do sistema... {collected_timestamp}{hostname}{command_line}(<optional_field>|[{pid}]):{mensagem} STATUS_ATUALIZAÇÃO

coletados_time é mapeado para metadata.event_timestamp

o nome do host é mapeado para principal.hostname

pid é mapeado para principal.process.pid

a mensagem está mapeada para metadata.description

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

principal.platform é definido como "LINUX"

command_line é mapeado para principal.process.command_line

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: aprenda 190.1/110.51.16. {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{user}\/{ip}:{port}MULTI:saiba:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") HTTP_NETWORK

o carimbo de data/hora é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

local_ip é mapeado para principal.ip

target_ip é mapeado para target.ip

target_hostname é mapeado para principal.hostname

a porta está mapeada para target.port

usuário foi mapeado para principal.user.user_display_name

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "Servidor de acesso OpenVPN"

principal.platform é definido como "LINUX"

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: "2022-04-28 16:14:13 versões da biblioteca: OpenSSL 1.1.1 11 de setembro de 2018, LZO 2.08" {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<campo_opcional>'|")<message_text>{msg}(<opcional_campo>'|") ATUALIZAÇÃO DO STATUS

o carimbo de data/hora é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

A msg é mapeada para security_result.description.

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "Servidor de acesso OpenVPN"

principal.platform é definido como "LINUX"

var/log/openvpnas.log 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] OUT: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6'

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:<field_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|"

a mensagem está mapeada para (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port}

ATUALIZAÇÃO DO STATUS

principal.platform é definido como "LINUX"

target_ip é mapeado para target.ip

target_port é mapeado para target.port.

severity é mapeado para security_result.severity

o carimbo de data/hora é mapeado para metadata.timestamp

metadata.vendor_name está definido como OpenVPN

metadata.product_name está definido como servidor de acesso OpenVPN

var/log/openvpnas.log 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] OUT: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] Peering Connection iniciada com [I5.0.0.I-1.0][15.]

{timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<field_field>'|")<message_text>{message}(<optional_field>'|")

A mensagem é mapeada para <message_text>com[<message_text>]<message_text>:{port}<message_text>

ATUALIZAÇÃO DO STATUS

o carimbo de data/hora é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

metadata.vendor_name está definido como OpenVPN

metadata.product_name está definido como servidor de acesso OpenVPN

principal.platform é definida como Linux

target_ip é mapeado para target.ip

target_port é mapeado para target.port.

target_hostname é mapeado para target.hostname

intermediary_ip é mapeado para intermediary.ip

var/log/openvpnas.log Palavras-chave {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<opcional_field>'|")<message_text>{user}\/{ip}:{message}(<optional_field>'|") ATUALIZAÇÃO DO STATUS

o carimbo de data/hora é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

a mensagem está mapeada para metadata.description

O usuário é mapeado para target.hostname.

O IP está mapeado para target.ip

porta é mapeada para taregt.port

metadata.vendor_name está definido como OpenVPN

metadata.product_name está definido como servidor de acesso OpenVPN

principal.platform é definida como Linux

var/log/openvpnas.log 20% {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' ATUALIZAÇÃO DO STATUS

o carimbo de data/hora é mapeado para metadata.timestamp

log_level é mapeado para security_result.severity

a mensagem está mapeada para security_result.description.

O resumo é mapeado para security_result.summary.

user_name é mapeado para principal.user.user_display_name

cli é mapeado para principal.process.command_line

status é mapeado para principal.user.user_authentication_status

metadata.vendor_name está definido como "OpenVPN"

metadata.product_name está definido como "Servidor de acesso OpenVPN"

principal.platform é definido como "LINUX"

/var/log/rundeck/service.log [2022-05-04T17:03:11,166] WARN config.NavigableMap - o acesso à chave de configuração "[filterNames]" por meio da notação por pontos foi descontinuado e será removido em uma versão futura. Use "config.getProperty(key, targetClass)". [{timestamp}]{severity}{summary}\-{security_description}

, em {command_line}\({file_path}:<mensagem_text>\)

ATUALIZAÇÃO DO STATUS command_line é mapeado para "target.process.command_line"

file_path é mapeado para "target.process.file.full_path"

o carimbo de data/hora é mapeado para "metadata.event_timestamp"

severity é mapeado para "security_result.severity"

O resumo está mapeado para "security_result.summary".

security_description é mapeada para "security_result.description"

metadata.product_name está definido como "FLUENTD"

metadata.vendor_name está definido como "FLUENTD"

/var/log/auth.log 4 de julho 19:26:19 Ubuntu18 systemd-logind[982]: remoção da sessão 153. {timestamp} {principal_nomedohost}{principal_application}(<campo_opcional>[{pid}]):{security_description}{network_session_id}?(do usuário{principal_user_userid})? USER_LOGOUT

o carimbo de data/hora é mapeado para "metadata.timestamp"

principal_hostname é mapeado para target.hostname se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname

participante_application é mapeado para target.application se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para "principal.application"

pid é mapeado para target.process.pid se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para principal.process.pid.

security_description é mapeada para "security_result.description"

network_session_id é mapeado para "network.session_id"

principal_user_userid é mapeado para principal.user.userid se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para target.user.userid.

"principal.platform" está definido como "LINUX"

Se o evento security_description for removido, o event_type será definido como USER_LOGOUT.

extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log 27 de junho 11:07:17 Ubuntu18 systemd-logind[804]: nova sessão 564 da raiz do usuário. {timestamp} {principal_nomedohost}{principal_application}(<campo_opcional>[{pid}]):{security_description}{network_session_id}?(do usuário{principal_user_userid})? LOGIN_DO_USUÁRIO

o carimbo de data/hora é mapeado para "metadata.timestamp"

principal_hostname é mapeado para target.hostname se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname

participante_application é mapeado para target.application se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para "principal.application"

pid é mapeado para target.process.pid se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para principal.process.pid.

security_description é mapeada para "security_result.description"

network_session_id é mapeado para "network.session_id"

principal_user_userid é mapeado para principal.user.userid se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para target.user.userid.

"principal.platform" está definido como "LINUX"

"network.application_protocol" é mapeado para "SSH"

event(type_session) event_type está definido como USER_LOGIN

extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log 27 de junho 11:07:17 Ubuntu18 sshd[9349]: senha aceita para raiz da porta 198.51.100.1 porta 57619 ssh2 {timestamp} {principal_nome do host}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuário inválido)?{principal_user_userid} da porta {principal_ip} {principal_port} ssh2(:{security_result_detection_fields_k_kv}SHA256:{security_result_detection_fields_v} LOGIN_DO_USUÁRIO

o carimbo de data/hora é mapeado para "metadata.timestamp"

principal_hostname é mapeado para target.hostname se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname

participante_application é mapeado para target.application se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para "principal.application"

pid é mapeado para target.process.pid se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para principal.process.pid.

security_description é mapeada para "security_result.description"

principal_user_userid é mapeado para principal.user.userid se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para target.user.userid.

principal_ip é mapeado para "principal.ip"

principal_port é mapeado para "principal.port"

security_result_detection_fields_ssh_kv é mapeado para "security_result.detection_fields.key/value"

security_result_detection_fields_kv é mapeado para "security_result.detection_fields.key/value"

"principal.platform" está definido como "LINUX"

"network.application_protocol" está definido como "SSH"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log 28 de abril 11:51:13 Ubuntu18 sudo[24149]: root : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls {timestamp} {principal_nome do host}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<mensagem_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; Command={={Principal ATUALIZAÇÃO DO STATUS

o carimbo de data/hora é mapeado para metadata.timestamp

principal_hostname é mapeado para principal.hostname

principal_application é mapeado para principal.application

pid é mapeado para principal.process.pid

principal_user_userid é mapeado para target.user.userid

security_description é mapeada para "security_result.description"

principal_process_command_line_1 é mapeado para "principal.process.command_line"

principal_process_command_line_2 é mapeado para "principal.process.command_line"

principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value"

"principal.platform" está definido como "LINUX"

/var/log/auth.log 4 de julho 19:39:01 CR1 do Ubuntu18[17217]: pam_unix(cron:session): sessão aberta para raiz do usuário por (uid=0) {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuário inválido|usuário)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ LOGIN_DO_USUÁRIO

o carimbo de data/hora é mapeado para metadata.timestamp

principal_hostname é mapeado para target.hostname se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname

participante_application é mapeado para target.application se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para "principal.application"

pid é mapeado para target.process.pid se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para principal.process.pid.

security_description é mapeada para "security_result.description"

principal_user_userid é mapeado para principal.user.userid se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para target.user.userid.

principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value"

"principal.platform" está definido como "LINUX"

"network.application_protocol" está definido como "SSH"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log Jul 4 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): sessão fechada para raiz do usuário {timestamp} {principal_nomedohost}{principal_application}<optional_filed>[{pid}]): {security_description} para (usuário inválido|usuário){principal_user_userid} USER_LOGOUT

o carimbo de data/hora é mapeado para metadata.timestamp

principal_hostname é mapeado para target.hostname se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname

participante_application é mapeado para target.application se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para "principal.application"

pid é mapeado para target.process.pid se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para principal.process.pid.

security_description é mapeada para "security_result.description"

principal_user_userid é mapeado para principal.user.userid se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para target.user.userid.

principal_user_attribute_labels_uid_kv é mapeado para principal.user.attribute.labels.key/value

"principal.platform" está definido como "LINUX"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/auth.log 30 de junho 11:32:26 Ubuntu18 sshd[29425]: redefinição de conexão autenticando a raiz do usuário 198.51.100.1 porta 52518 [preauth] {timestamp} {principal_nomedohost}{principal_application}(<opcional_campo>[{pid}]):{security_description}(de|{principal_user_userid}){target_ip}porta{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) USER_LOGOUT

o carimbo de data/hora é mapeado para metadata.timestamp

principal_hostname é mapeado para target.hostname se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para principal.hostname

participante_application é mapeado para target.application se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para "principal.application"

pid é mapeado para target.process.pid se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para principal.process.pid.

security_description é mapeada para security_result.description.

security_summary é mapeado para security_result.summary.

principal_user_userid é mapeado para principal.user.userid se o valor é "USER_LOGOUT". Caso contrário, ele é mapeado para target.user.userid.

target_ip é mapeado para target.ip

target_port é mapeado para target.port.

principal.platform" é definido como "LINUX"

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

var/log/samba/log.winbindd [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(boot_winbindd_cache)Initialize_winbindd_cache: limpar o cache e recriar com a versão número 2 {timestamp},{severity}(<optional_field>,pid={pid},effective({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id})??]<message_text>:{security_description} ATUALIZAÇÃO DO STATUS

o carimbo de data/hora é mapeado para "metadata.timestamp"

pid é mapeado para "principal.process.pid"

principal_user_attribute_labels_kv é mapeado para "principal.user.attribute.labels"

principal_group_attribute_labels_kv é mapeado para "principal.group.attribute.labels"

principal_user_userid é mapeado para "principal.user.userid"

principal_group_product_object_id é mapeado para "principal.group.product_object_id"

security_description é mapeada para "security_result.description"

metadata_description é mapeado para "metadata.description"

metadata.product_name está definido como FLUENTD

metadata.vendor_name" está definido como "FLUENTD"

var/log/samba/log.winbindd Messaging_dgm_init: falha ao vincular: não há espaço disponível no dispositivo {user_id}: {desc} ATUALIZAÇÃO DO STATUS

metadata.product_name está definido como FLUENTD

metadata.vendor_name" está definido como "FLUENTD"

user_id é mapeado para principal.user.userid

desc. é mapeado para metadata.description

/var/log/mail.log 16 de julho 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<yml@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH009>SSD,Ubuntu=4do {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} ATUALIZAÇÃO DO STATUS

target_hostname é mapeado para target.hostname

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<root> {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname é mapeado para target.hostname

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> ATUALIZAÇÃO DO STATUS

target_hostname é mapeado para target.hostname

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

resource_name é mapeado para target.resource.name

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (fila ativa) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname é mapeado para target.hostname

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho 13:44:01 prod postfix/smtp[23436]: conectar a gmail-smtp-in.l.abc.com[2607:xxxx:xxxx:xxx::xx]:25: a rede está inacessível {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} ATUALIZAÇÃO DO STATUS

target_hostname é mapeado para target.hostname

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

/var/log/mail.log 7 de julho 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, transmite=local, atraso=0.01, atrasos=0/0.01/0/0, dsn=2.0.0, status=enviado (enviado para a caixa de e-mails) {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} EMAIL_UNCATEGORIZED

target_hostname é mapeado para target.hostname

aplicativo é mapeado para target.application

pid é mapeado para target.process.pid.

metadata.vendor_name está definido como "FLUENTD"

metadata.product_name está definido como "FLUENTD"

Auditoria

Campos de registro de auditoria para campos do UDM

A tabela a seguir lista os campos do registro do tipo de registro de auditoria e os campos de UDM correspondentes.

Campo de registro Campo UDM
conta target.user.user_display_name
adição principal.ip
arch about.labels.key/value
Auid target.user.userid
cgroup principal.process.file.full_path
cmd target.process.command_line
comunicação target.application
cwd target.file.full_path
dados about.labels.key/value
Devmajor about.labels.key/value
devminor about.labels.key/value
Egid target.group.product_object_id
Euid target.user.userid
exe target.process.file.full_path
exit target.labels.key/value
família network.ip_protocol é definido como "IP6IN4" se "ip_protocol" == 2 outro é definido como "UNKNOWN_IP_PROTOCOL"
tipo de arquivo target.file.mime_type
fsgid target.group.product_object_id
FSF target.user.userid
gid target.group.product_object_id
hostname target.hostname
tipo de ICmp network.ip_protocol está definido como "ICMP"
id Se [audit_log_type] == "ADD_USER", target.user.userid é definido como "%{id}"

Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id é definido como "%{id}"

else target.user.attribute.labels.key/value está definido como id

inode target.resource.product_object_id
chave segurança_resultado.detection_fields.key/value
list segurança_resultado.sobre.rótulos.chave/valor
mode target.resource.attribute.permissions.name

target.resource.attribute.permissions.type

nome target.file.full_path
novo disco target.resource.name
New-Mem target.resource.attribute.labels.key/value
new-vcpu target.resource.attribute.labels.key/value
nova rede Pincipal.mac
new_gid target.group.product_object_id
oauid target.user.userid
om, target.process.command_line
opid target.process.pid.
Oss network.session_id
OID target.user.userid
obj_gid target.group.product_object_id
Função obj_ target.user.attribute.role.name
obj_uid target.user.userid
Usuário obj target.user.user_display_name
Ogid target.group.product_object_id
OID target.user.userid
path target.file.full_path
permanente target.asset.attribute.permissions.name
pid target.process.pid.
código target.parent_process.pid
proto Se [ip_protocol] == 2, network.ip_protocol é definido como "IP6IN4"

else network.ip_protocol está definido como "UNKNOWN_IP_PROTOCOL"

RES segurança_resultado.resumo
result segurança_resultado.resumo
mais triste segurança_resultado.detection_fields.key/value
Sauid target.user.attribute.labels.key/value
CANNOT TRANSLATE network.session_id
forte target.group.product_object_id
Sig segurança_resultado.detection_fields.key/value
Usuário subj. target.user.user_display_name
sucesso Se sucesso=='yes', o security_result.summary está definido como 'chamada do sistema bem-sucedida' else security_result.summary está definido como "a chamada do sistema falhou"
suid target.user.userid
chamada do sistema about.labels.key/value
terminal target.labels.key/value
TTD target.labels.key/value
uid Se [audit_log_type] em [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MA_USER] USER_USER).

else uid está definido como target.user.userid

vm target.resource.name

Tipos de registro de auditoria para o tipo de evento do UDM

A tabela a seguir lista os tipos de registros de auditoria e os tipos de evento do UDM correspondentes.

Tipo de registro de auditoria Tipo de evento do UDM Descrição
ADD_GROUP Grupo_CREAÇÃO Acionado quando um grupo de espaço do usuário é adicionado.
ADICIONAR_USUÁRIO USER_CREATION Acionado quando uma conta de usuário do espaço do usuário é adicionada.
ANOM_ABEND GENERIC_EVENT / PROCESS_TERMINATION Acionado quando um processo termina de maneira anormal (com um sinal que pode causar um despejo de núcleo, se ativado).
AVC EVENTO GENERICO Acionado para gravar uma verificação de permissão do SELinux.
CONFIGURAR_ALTERAÇÃO USER_RESOURCE_UPDATE_CONTENT Acionado quando a configuração do sistema de auditoria é modificada.
QED_ACQ LOGIN_DO_USUÁRIO Acionado quando um usuário adquire credenciais do espaço do usuário.
CRED_DISP USER_LOGOUT Acionado quando um usuário descarta credenciais de espaço do usuário.
CRED_REFR LOGIN_DO_USUÁRIO Acionado quando um usuário atualiza as credenciais do espaço do usuário.
CRYPTO_KEY_USER USER_RESOURCE_ACCESS Acionado para gravar o identificador de chave criptográfica usado para fins criptográficos.
CRYPTO_SESSÃO PROCESSO_TERMINAÇÃO Acionado para gravar os parâmetros definidos durante um estabelecimento da sessão TLS.
CWD (em inglês) SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para gravar o diretório de trabalho atual.
DAEMON_ABORT PROCESSO_TERMINAÇÃO Acionado quando um daemon é interrompido devido a um erro.
DAEMON_END PROCESSO_TERMINAÇÃO Acionado quando um daemon é interrompido.
DAEMON_RESUME PROCESS_UNCATEGORIZED Acionado quando o daemon auditado retoma a geração de registros.
DAEMON_ROTATE PROCESS_UNCATEGORIZED Acionado quando o daemon auditado alterna os arquivos de registro de auditoria.
DAEMON_START PROCESSO_DE LANÇAMENTO Acionado quando o daemon auditado é iniciado.
GRUPO DEL GROUP_DELETION Acionado quando um grupo de espaço do usuário é excluído
Pendente USER_DELETION Acionado quando um usuário do espaço do usuário é excluído
EXECVE PROCESSO_DE LANÇAMENTO Acionado para gravar argumentos da chamada do sistema de execve(2).
MUDAR_CONFIGURAÇÃO_MUDANÇA EVENTO GENERICO Acionado quando um valor booleano SELinux é alterado.
Evento do MAC_IPSEC_ SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para registrar informações sobre um evento IPSec, quando um é detectado ou quando a configuração IPIP muda.
MAC_POLICY_LOAD EVENTO GENERICO Acionado quando um arquivo de política do SELinux é carregado.
MAC_STATUS EVENTO GENERICO Acionado quando o modo SELinux (aplicação, permissivo, desativado) é alterado.
MAC_UNLBL_STCADD SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado quando um rótulo estático é adicionado ao usar os recursos de rotulagem de pacotes do kernel fornecido pelo NetLabel.
NETFilter_CFG EVENTO GENERICO Acionado quando as modificações da cadeia do Netfilter são detectadas.
ID_OBJ SYSTEM_AUDIT_LOG_UNCATEGORIZED Acionado para gravar informações sobre um processo para o qual um sinal é enviado.
CAMINHO FILE_OPEN/GENERIC_EVENT Acionado para gravar as informações do caminho do nome do arquivo.
SELINUX_ERRO EVENTO GENERICO Acionado quando um erro interno do SELinux é detectado.
SERVICE_START SERVICE_START Acionado quando um serviço é iniciado.
STOP_SERVICE STOP_SERVICE Acionado quando um serviço é interrompido.
SYSCALL EVENTO GENERICO Acionado para gravar uma chamada do sistema para o kernel.
SISTEMA_BOOT STATUS_STARTUP Acionado quando o sistema é inicializado.
SYSTEM_RUNLEVEL STATUS_ATUALIZAÇÃO Acionado quando o nível de execução do sistema é alterado.
SYSTEM_SHUTDOWN STATUS_SHUTDOWN Acionado quando o sistema é desligado.
USER_ACCT SETTING_MODIFICAÇÃO Acionado quando uma conta de usuário do espaço do usuário é modificada.
USER_AUTH LOGIN_DO_USUÁRIO Acionado quando uma tentativa de autenticação de espaço do usuário é detectada.
AVC de USER USER_UNCATEGORIZED Acionado quando uma mensagem AVC do espaço do usuário é gerada.
USER_CHAUTHTOK (em inglês) USER_RESOURCE_UPDATE_CONTENT Acionado quando um atributo de conta de usuário é modificado.
USER_CMD USER_COMMUNICATION Acionado quando um comando do shell do espaço do usuário é executado.
USUÁRIO_END USER_LOGOUT Acionado quando uma sessão do espaço do usuário é encerrada.
USER_ERR USER_UNCATEGORIZED Acionado quando é detectado um erro de estado da conta de usuário.
LOGIN_DO_USUÁRIO LOGIN_DO_USUÁRIO Acionado quando um usuário faz login.
USER_LOGOUT USER_LOGOUT Acionado quando um usuário sai.
USER_MAC_POLICY_LOAD RESOURCE_RESOURCE Acionado quando um daemon do espaço do usuário carrega uma política do SELinux.
USER_MGMT USER_UNCATEGORIZED Acionado para gravar os dados de gerenciamento do espaço do usuário.
MUDANÇA_DE_ROLE_DE_USUÁRIO USER_CHANGE_PERMISSIONS Acionado quando a função do SELinux de um usuário é alterada.
USER_START LOGIN_DO_USUÁRIO Acionado quando uma sessão do espaço do usuário é iniciada.
USYS_CONFIG USER_RESOURCE_UPDATE_CONTENT Acionado quando uma alteração de configuração do sistema do espaço do usuário é detectada.
VIRT_CONTROL STATUS_ATUALIZAÇÃO Acionado quando uma máquina virtual é iniciada, pausada ou interrompida.
VIRT_MACHINE_ID USER_RESOURCE_ACCESS Acionado para gravar a vinculação de um rótulo a uma máquina virtual.
VIRT_RESOURCE USER_RESOURCE_ACCESS Acionado para gravar a atribuição de recursos de uma máquina virtual.

E-mail

Campos de registro de e-mail para campos do UDM

A tabela a seguir lista os campos de registro do tipo de registro de e-mail e os campos de UDM correspondentes.

Campo de registro Campo UDM
Classe about.labels.key/value
Ctladdr principal.user.user_display_name
De network.email.from
Névoa network.email.mail_id
Proto network.application_protocol
Conexão relay intermediário.nomedohost

Intermediário.ip

Tamanho network.received_bytes
Estatística segurança_resultado.resumo
a network.email.to

Tipos de registro de e-mail para o tipo de evento do UDM

A tabela a seguir lista os tipos de registro de e-mail e os tipos de evento do UDM correspondentes.

Tipo de registro de e-mail Tipo de evento do UDM
enviar e-mail ATUALIZAÇÃO DO STATUS
pickup EMAIL_UNCATEGORIZED
cleanup ATUALIZAÇÃO DO STATUS
qmgr EMAIL_UNCATEGORIZED
smtp ATUALIZAÇÃO DO STATUS
local EMAIL_UNCATEGORIZED

A seguir